尝试生成校园建筑占用统计数据,并探索依靠计算机活动数据来实现这一点。
方法是使用日志活动(本地 Windows 日志或 EDR 日志)并检查与在本地键盘上发起该活动的人相对应的事件。然后,我们过滤掉与我们的本地 LAN 不对应的 IP。总之,我们的想法是,这将清除远程用户或远程用户通过 RDP 进入他们办公室的机器。
我们一直在寻找的事件/代码(Windows):
- 交互式登录(代码 2)
- 缓存的交互式登录(代码 11)
- 解锁(代码 7)
- 缓存解锁(代码 13)
前两种情况似乎关联性相当强,但后两种情况发生得如此频繁,在某些情况下,我们怀疑可能是自动化活动触发了它们,而实际上可能并没有人类存在。
寻找对我们选择的登录代码的想法,以及是否有可能更好的代码或替代方法(我们希望避免安装传感器等,但除此之外,我们对几乎任何创意都持开放态度)。